BETA

14.01.2018

16:15

עודכן:

מיוחד: האם טראמפ מפיץ "פייק ניוז" על מתקפת ה- WannaCry ?

בחברת הסייבר הישראלית "סייבריזן" טוענים כי יתכן וממשל טראמפ מפיץ פייק ניוז בנוגע לזהות היישות העומדת מאחורי מתקפת הסייבר הגדולה בהיסטוריה. צפו בראיון מיוחד

ב-18 בדצמבר ממשלת ארה"ב ביקשה מכל העולם לסמוך על טענותיה כי צפון קוריאה עומדת מאחורי התקפת WANNACRY שהתרחשה בחודש מאי, אך לא הציגה שום הוכחה לכך. מי שהוביל את הקו הזה הוא היועץ לבטחון לאומי של ממשל טראמפ, המשפטן טום בוסארט שבנוסף לטור שפירסם גם כינס מסיבת עיתונאים רישמית בבית הלבן והכריז כי המדינה הסוררת היא זו שעומדת מאחורי מתקפת הכופרה הנרחבת שפגעה בראשית חודש מאי בשנה שעברה.

 

בעוד ענקיות האבטחה סימנטק וקספרסקי טענו בחצי השנה האחרונה כי קוריאה הצפונית היא זו העומדת מאחורי המתקפה בהסתמך על שורות קוד שנתגלו בשפה הקוריאנית, בסייבריזן מעולם לא יישרו קו עם הטענה הזו. בפוסט מיוחד שהעלתה לבלוג החברה כיממה לאחר הכרזת הבית הלבן , טוענת חברת הסייבר הישראלית  כי: "הסבירות שקוריאה הצפונית עומדת מאחורי התקיפה הזו - נמוכה עד בלתי סבירה". יש לציין שזהו קו בו נקטה החברה מאז נטען לראשונה כי הדיקטטורה מהמזרח עומדת מאחורי המתקפה עוד בסוף חודש מאי 2017. 

 

בחברה מספרים כי למרות ההצהרה של ארה"ב כי בידיה ראיות המוכיחות כי צפון קוריאה היא זו העומדת מאחורי המתקפה הרי שאלו מעולם לא סופקו ולא שותפו - מה שהניע את הצוות של סייבריזן לחקור בכיוון. אך בהיעדר "קנה מעשן" בחברה אומרים כי התבססו על עובדות מהשטח בלבד - ואלו ציירו תמונה הפוכה מזו שארה"ב הציגה.

 

אז מדוע הכריזה ארה"ב על צפון קוריאה כאשמה במתקפה? ובכן לפי דבריו של לטם גיא, מנהל בכיר לאבטחת סייבר, סייבריזן (Cybereason)  נראה שהתשובה קשורה יותר למישור הבין מדיני מאשר לעולם הסייבר. צפו בראיון המיוחד שצילמנו עימו ובו הוא שטוח את עמדתו ועמדת החברה, הסותרת את עמדת הבית הלבן.

 

לעוד כתבות שיעניינו אתכם:

בלעדי: ראיון עם הישראלי שחשף את הבאג במעבדי אינטל
משתמשים בסמארטפון של סמסונג? כנראה שאתם חייבים לקרוא את זה

 

אז מדוע לא צפון קוריאה היא זו העומדת מאחורי המתקפה? ובכן בחברה מספרים כי ברמה הטכנית שום דבר בתבנית של ה-WannaCry לא אופייני לדפוסי הפעילות של צפון קוריאה. המדינה דבקה בפילוסופיה לאומית של הסתמכות עצמית המכונה "אידאולוגיית ג'וצ'ה" שעיקרה הוא שהם מייצרים הכל בעצמם. בתחילת שנות ה- 2000 החילו את הפילוסופיה הזו בלוחמת הסייבר על ידי בינוי של יכולות מהיסוד. גם כיום צפון קוריאה מפתחת את כלי הסייבר שלה מהיסוד ולא שואלת חלקי קוד של ארגוני סייבר אחרים או כלים גנריים, לכן קל לזהות את נוכחותה - זאת בעוד בעוד שה-WannaCry מבוססת על כלי פריצה שדלפו מסוכנות NSA.

 

מומחי החברה טוענים כי קבוצת התקיפה הצפון קוריאנית לה מייחסים את התקיפה, "לזרוס" (Lazarus Group), נעזרת בכלי תקיפה מתוחכמים - הרבה מעבר למה שנצפה בארוע הנוכחי. כלי התקיפה הללו מהונדסים ברמה גבוהה כחלק מפלטפורמת הסייבר העצמאית שהממשל בפיונגיאנג פיתח ב-30 השנים האחרונות. בסייבריזן טוענים שביחס לתמורה הנמוכה, לא סביר שהצפון קוריאנים יסתכנו בחשיפה כל כך נרחבת כמו גם בסיכון קשריהם עם הרוסים והסינים - בעלות בריתה, ושתי המדינות היחידות המהוות נקודות גישה לאינטרנט עבור המדינה המבודדת. כזכור, חלק ניכר ממספר הרשתות והמחשבים שנפגעו ממתקפת ה-WannaCry, היו ברוסיה ובסין.

 

אבל זה לא נגמר כאן. מאחר ובעבר, קבוצת לזרוס הואשמה כי עמדה מאחורי מתקפת סייבר על הבנק המרכזי בבנגלדש. שם, באמצעות פריצה למערכת ה-Swift הצליחו הפורצים לצאת עם שלל הנאמד בכ-81 מיליון דולרים. לעומת זאת במתקפת ה-WannaCry התוקים הצליחו לאסוף שלל דל ביחס להתפשטות המתקפה ולנזק שנגרם - 51 אלף דולרים בלבד. סכום שיכול להיחשב כמעולה  עבר פושע סייבר, אך במידה ומדובר במדינה - הרי שהסכום הנ"ל הוא לא פחות מאכזבה.

 

מפת תפוצת הוואנקריי
 

מפת תפוצת הוואנקריי( וויקפדיה)

 

מעבר לתשואה הנמוכה, בסייבריזן מבליטים נתון נוסף כחריג לא פחות - מספר הנפגעים הנמוך מאוד בארה"ב, יפן ויריבתה הנצחית של פיונגיאנג - קוריאה הדרומית. בהסתמך על נסיון העבר, היה צפוי כי דווקא במדינות אלו, אויבותיה המרות של קוריאה הצפונית, נראה את שיעור הנפגעים הגבוה ביותר. אך אם המתקפה הזו כמעט פסחה על המדינות הללו (בעיקר בשל רמת מוכנות גבוהה), מדוע על הצפון קוריאנים להסתכן בחשיפת כלי התקיפה שלהם? יתרה מכך - מה היתה המטרה של המתקפה, אם כך? האם פיסת קוד שנתגלתה בקוריאנית אמורה לסתור דפוס התנהגות של עשורים כמו גם ללכת כנגד ההגיון?

 

יש לציין ששאלת השאלות בעולם הסייבר, בוודאי בעידן שאחרי חשיפות הכלים של ה-NSA וה-CIA, היא שאלת השיוך - מי עומד מאחורי מתקפה? שהרי אין שיטה או מתכון בטוח להפללה של שחקן ספציפי, ולרוב נוקטים בגישת האלימינציה.  בעולם הסייבר, כמו בעבודת המשטרה - ישנן  עדויות חזקות וישנן עדויות נסיבתיות - במקרה הזה בסייבריזן טוענים כי כמעט כל העדויות הן נסיבתיות ולא חזקות דיין כדי להצביע על תוקף מסוים. שימוש בשפות זרות בתוך הקוד, הרחבה של התקיפה לכלול יעדים מחוץ ל"סל המטרות", ניתוב התקיפה דרך מדינה שלישית ואפילו גניבה של כלים ותשתיות - כל אלו מוכרות כשיטות קיימות לזריית חול בעיני חוקרי אבטחה ויצרת קושי נוסף באיתור התוקף האמיתי. בעידן שאחרי הדלפות "Vault 7" של וויקליקס, העולם כבר מבין שביכולתן של סוכנויות ביון להסוות פעילותן באמצעות גניבת כלי תקיפה של "שחקנים" בין מדינתיים אחרים, בעיקר כדי להרחיק עצמן מהפעילות, במקרה וזו תיחשף. 

 

בסייבריזן מבקשים להדגיש כי יש להתייחס ברצינות לאיום הצפון קוריאני על המרחב הקיברנטי הגלובאלי וכי האיום הגדול יותר טמון בהפיכת השיח על המדינה המבודדת ליום יומי בהקשר הזה, מה שעלול לדחוף אותה לבצע צעדים קיצוניים יותר  - שיגמדו את נזקי ה-WannaCry.